В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
Описание
Это письмо послужило началом серии атак на клиентов MSP, осуществляемых группой Qilin. Команда Sophos Managed Detection and Response (MDR) идентифицировала эту атаку как STAC4365, чья активность отслеживается с 2022 года.
Атака использовала методы и инфраструктуру, схожие с предыдущими фишинговыми кампаниями, основанными на сборе учетных данных и обходе многофакторной аутентификации (MFA). Злоумышленники использовали поддельные домены ScreenConnect в качестве прокси-серверов, чтобы перенаправить администраторов на вредоносные фишинговые сайты и перехватить их учетные данные. После перехвата MFA-вводов злоумышленники получили доступ к легитимному порталу ScreenConnect и могли производить атаки с использованием программы-вымогателя Qilin.
Группа Qilin набирает аффилированных лиц на русскоязычных форумах киберпреступников. Злоумышленники, связанные с Qilin, используют сайт утечки данных в Tor для давления на жертвы и вымогательства. В 2024 году они запустили сайт утечки данных под названием "WikiLeaksV2", который распространяется в открытом интернете. Этот сайт был указан в записках о выкупе, оставленных в данной атаке.
В целом, эта атака на MSP ScreenConnect и последующие атаки с использованием программы-вымогателя Qilin подчеркивают важность не только обучения пользователям, но и обеспечения безопасности с помощью многофакторной аутентификации и постоянного мониторинга угроз.
Indicators of Compromise
IPv4
- 109.107.173.60
- 109.70.100.1
- 128.127.180.156
- 186.2.163.10
- 92.119.159.30
Domains
- cloud.screenconnect.com.ms
URLs
- https://b8dymnk3.r.us-east-1.awstrack.me/L0/https:%2F%2Fcloud.screenconnect.com.ms%2FsuKcHZYV/1/010001948f5ca748-c4d2fc4f-aa9e-40d4-afe9-bbe0036bc608-000000/mWU0NBS5qVoIVdXUd4HdKWrsBSI=410
- https://cloud.screenconnect.com.ms/suKcHZYV/1/010001948f5ca748-c4d2fc4f-aa9e-40d4-afe9-bbe0036bc608-000000/mWU0NBS5qVoIVdXUd4HdKWrsBSI=410
SHA256
- 0b9b0715a1ffb427a02e61ae8fd11c00b5d086eb76102d4b12634e57285c1aba
- 45c8716c69f56e26c98369e626e0b47d7ea5e15d3fb3d97f0d5b6e8997299d1a
- 9da70c521b929725774c3980763a4aed9baf9de4e6f83fc8f668c3a365a55f82
- b52917b0658cd2a9197e6bb62bade243ee1ad164f2bb566f3a1e09dfa580397f
- ef3e42e5fa24acaee2428ff0118feb2be925bfe6b1ea4eccce8b70a7ac5ab2cc
- fdf6b0560385a6445bd399eba03c8662be9e61928d6cbc268d550163a5a09285
